No es fácil ser un hacker… Especialmente con TLS 1.3

Ha llegado una nueva era para la seguridad en Internet. Los navegadores, las herramientas de seguridad y los proveedores de servicios están adecuándose al nuevo estándar de cifrado, ¿está listo para seguir el ejemplo? En agosto de este año, el IETF (Internet Engineering Task Force) publicó la versión 1.3 del protocolo TLS (Transport Layer Security). La nueva versión, diseñada para la “Internet moderna”, ofrece mejoras importantes a los protocolos de cifrado previos en las áreas de seguridad, características técnicas y privacidad. Lo más importante es que el uso de PFS (perfect forward secrecy) que era opcional en la versión 1.2, ahora es obligatorio para todas las sesiones en TLS 1.3. PFS requiere que se use criptografía de clave efímera, que genera una nueva clave de cifrado para cada interacción cliente/servidor. Las sesiones anteriores y futuras mantienen la privacidad, porque nunca se usa dos veces la misma clave. De este modo, aunque un hacker consiga poner en peligro una sesión, le resultará difícil descifrar todo el tráfico sensible de la red. Se puede implementar siempre que la red admita los cifrados efímeros de TLS 1.2 y 1.3. A continuación hay 6 consejos para monitorizar y procesar datos cifrados en la red cuando PFS se convierta en la norma. Eliminar el tráfico malo antes del descifrado. Una pasarela de detección inteligente de amenazas es un dispositivo que puede detectar y bloquear tráfico malicioso antes de que sea descifrado.
Mediante la consulta de referencias cruzadas de una base de datos de malware conocido, el dispositivo pasarela puede reconocer direcciones IP peligrosas en la cabecera de un paquete y bloquear la transmisión de los datos de ese paquete. Como la cabecera de un paquete está en texto plano, no es necesario descifrarla. Una solución de detección inteligente de amenazas reduce los falsos positivos en la detección de amenazas, tiene una capacidad de bloqueo notablemente mayor que otras herramientas de seguridad y no requiere la creación de ninguna regla manual si cambian las condiciones. Al bloquear el malware antes del descifrado, las herramientas pueden trabajar de manera más eficiente con mayor protección. 1. Utilizar descifrado SSL activo. El tráfico cifrado está creciendo y del mismo modo lo hace el malware cifrado. Como mínimo, los desarrollos de seguridad deben incluir descifrado SSL pasivo. Pero se recomienda realizar la transición al descifrado SSL activo. Mediante el descifrado activo de los datos en la red, el sistema de seguridad puede detectar actividad maliciosa en tiempo real y reducir los riesgos de seguridad para el negocio. 2.
Disponer de un dispositivo independiente y dedicado. La introducción del SSL activo en el desarrollo de seguridad puede requerir un rediseño importante de la infraestructura de red. Algunos dispositivos de monitorización actuales, como los cortafuegos de siguiente generación, pueden ser compatibles con el descifrado SSL activo, pero también afectar negativamente al rendimiento de la red. Al habilitar el SSL activo en las herramientas de seguridad se puede reducir el rendimiento global, aumentar la latencia y la congestión, y necesitar capacidad de proceso adicional. Además, es posible que los cortafuegos, las soluciones IPS u otros dispositivos de seguridad no sean capaces de descifrar el tráfico. Disponer de una solución de SSL activo dedicado para descifrar y cifrar el tráfico para todas las herramientas mejorará la eficiencia durante el proceso y aliviará la carga de las herramientas de seguridad. 3. Proteger los datos en texto plano. Una vez descifrados los datos, el texto plano se envía a herramientas de análisis y monitorización fuera de banda.
Esto supone un nuevo riesgo, ya que los datos en texto plano podrían ser interceptados en la transmisión o accederse a ellos a través de la herramienta de recepción. Disponer de un dispositivo con capacidad para enmascarar datos puede ofrecer seguridad adicional para información sensible, como contrase ñas, números de tarjeta de crédito, números de la seguridad social, direcciones de correo electrónico y datos de salud. Los sistemas inteligentes de enmascaramiento de datos pueden escanear los paquetes de datos para detectar patrones coherentes con las normativas de privacidad y bloquear todo menos los últimos caracteres de una cadena. 4. Validar las capacidades de los dispositivos. Para verificar que los dispositivos de seguridad funcionen de la manera esperada, se deben realizar pruebas de validación en la red. Una solución de prueba que pueda generar malware cifrado y otros ataques de TI ayudará a exponer las debilidades del desarrollo del sistema de seguridad. Además, se pueden evaluar posibles soluciones, refinar las configuraciones y medir el rendimiento de las herramientas ya existentes. 5.
Externalizar el proyecto. Dada la escasez de profesionales de seguridad y de TI, la externalización de la planificación logística y la reestructuración de la infraestructura puede ser la manera más rentable de implementar TLS 1.3. Además de actualizar el software del servidor web, puede que se tengan que sustituir los dispositivos que no sean compatibles con el nuevo estándar y volver a enrutarse el tráfico. Encargar a una empresa externa de confianza que desarrolle los planes, seleccione nuevos proveedores, optimice las configuraciones y administre los cambios reduce notablemente el tiempo de implementación y los riesgos asociados con una transición de la red. Antes de que pueda darse cuenta, la mayor parte del tráfico de su red estará cifrado. Con el nuevo estándar que requiere PFS, el desarrollo de la seguridad debe ser compatible con TLS 1.3 además de descifrar, procesar y proteger los datos de manera rápida y eficiente. Si desea crear una arquitectura de seguridad sólida para su negocio e implementar TLS 1.3, tenga en cuenta estas sugerencias para que los hackers no tengan ninguna oportunidad para ir contra su red.